Ipinaliwanag: Paano ang mga token sa halip na mga detalye ng credit card ay maaaring gawing mas ligtas ang mga transaksyon
Ang Reserve Bank of India ay nagpapahintulot sa tokenization ng mga card habang nagbabayad. Ano ang ibig sabihin nito, at paano ito gumagana?
Ayon sa RBI, para sa pagsubaybay sa transaksyon at pagkakasundo, maaaring mag-imbak ang mga entity ng limitadong data bilang pagsunod sa mga naaangkop na pamantayan. Pinipilit ng maraming merchant at e-commerce na entity ang mga customer na mag-imbak ng mga detalye ng debit o credit card, na nagpapataas ng panganib na manakaw ang data ng card. Maiiwasan na ito ngayon sa pamamagitan ng Reserve Bank of India na nagpapahintulot sa tokenization ng mga card habang nagbabayad.
Ano ang tokenization?
Ito ay tumutukoy sa pagpapalit ng mga detalye ng card ng alternatibong code na tinatawag na 'token', na kakaiba para sa kumbinasyon ng card, token requestor (ang entity na tumatanggap ng kahilingan mula sa customer para sa tokenization ng isang card at ipinapasa ito sa card network na mag-isyu ng token) at ang device, sabi ng RBI. Binabawasan nito ang mga pagkakataon ng pandaraya na nagmumula sa pagbabahagi ng mga detalye ng card. Ginagamit ang token upang magsagawa ng mga transaksyon sa walang contact na card sa mga terminal ng point-of-sale (PoS) at mga pagbabayad sa QR code.
Pinalawig din ng RBI ang tokenization ng mga transaksyon sa Card-on-File (CoF) — kung saan iniimbak ng mga merchant ang mga detalye ng card — at inutusan ang mga merchant na huwag mag-imbak ng mga detalye ng card sa kanilang mga system mula Enero 1, 2022. Ang transaksyon ng CoF ay isa kung saan pinahintulutan ng isang cardholder ang isang merchant na iimbak ang kanyang mga detalye ng pagbabayad sa Mastercard o Visa, at singilin ang nakaimbak na account. Ang mga kumpanya ng e-commerce at airline at supermarket chain ay kadalasang nag-iimbak ng mga detalye ng card.
May bisa mula Enero 1, 2022, walang entity sa card transaction o payment chain, maliban sa mga card issuer at card network, ang dapat mag-imbak ng aktwal na data ng card. Anumang ganoong data na nakaimbak dati ay lilinisin, sinabi ng RBI sa isang pabilog. Nauna nang pinagbawalan ng RBI ang pag-imbak ng data noong Marso 2020 ngunit pinalawig ang deadline hanggang Disyembre 31, 2021.
| Bakit nagdudulot ng mga alalahanin ang pagpasok ng Big Tech sa mga digital na serbisyo sa pananalapiPaano gumagana ang tokenization?
Maaaring makuha ng cardholder ang tokenise ng card sa pamamagitan ng pagsisimula ng isang kahilingan sa app na ibinigay ng humiling ng token. Ipapasa ng humihiling ng token ang kahilingan sa network ng card na, sa pahintulot ng nagbigay ng card, ay magbibigay ng token na naaayon sa kumbinasyon ng card, humiling ng token, at device. Ang tokenization ay pinapayagan sa pamamagitan ng mga mobile phone o tablet para sa lahat ng mga kaso ng paggamit at mga channel tulad ng mga contactless card na transaksyon, mga pagbabayad sa pamamagitan ng mga QR code at app, ayon sa RBI
Ang mga token ay nabuo ng mga kumpanya tulad ng Visa at MasterCard, na kumikilos tulad ng Mga Token Service Provider (TSP), at ibinibigay nila ang mga token sa pagbabayad sa mobile o mga platform ng e-commerce upang magamit ang mga ito sa panahon ng mga transaksyon sa halip na ang mga detalye ng credit card ng customer.
Kapag ipinasok ng mga user ang mga detalye ng kanilang card sa isang virtual na wallet tulad ng Google Pay o PhonePe, humihingi ng token ang mga platform na ito sa isa sa mga TSP na ito. Hihilingin muna ng mga TSP ang pag-verify ng data mula sa bangko ng customer. Kapag na-verify na ang data, bubuo ang isang code at ipapadala sa device ng user. Kapag nabuo na ang natatanging token, nananatili itong hindi maibabalik na naka-link sa device ng customer at hindi na mapapalitan. Kaya, sa tuwing gagamitin ng isang customer ang kanyang device upang magbayad, magagawa ng platform na pahintulutan ang transaksyon sa pamamagitan lamang ng pagbabahagi ng token, nang hindi kinakailangang ibunyag ang totoong data ng customer. Maaaring mabuo ang mga token upang pangalagaan ang mga pagbabayad sa mga mobile wallet at pisikal o online na tindahan tulad ng Amazon. Ang listahan ng mga network ng card na pinahintulutan ng RBI na gumana sa India ay available sa sumusunod link.
|Sino ang makikinabang sa Rs 10,683 crore PLI scheme para sa sektor ng tela?
Sino ang maaaring mag-tokenise ng mga card?
Pinahintulutan ng RBI ang mga issuer ng card na kumilos bilang mga TSP, na mag-aalok ng mga serbisyo ng tokenization para lamang sa mga card na ibinigay o kaakibat sa kanila. Ang kakayahang mag-tokenise at mag-de-tokenise ng data ng card ay magkakaroon ng parehong TSP. Ang tokenization ng data ng card ay gagawin nang may tahasang pahintulot ng customer na nangangailangan ng karagdagang pagpapatunay ng Factor of Authentication (AFA) ng nagbigay ng card, sinabi ng RBI.
Karaniwan, sa isang tokenised card transaction, ang mga stakeholder na kasangkot ay ang merchant, ang merchant's acquirer, card payment network, token requestor, issuer at customer. Ang pagpaparehistro para sa isang kahilingan sa tokenization ay ginagawa lamang nang may tahasang pahintulot ng customer sa pamamagitan ng AFA, at hindi sa pamamagitan ng sapilitang, default o awtomatikong pagpili ng check box, radio button, atbp. Ang mga customer ay bibigyan din ng pagpipilian sa pagpili ng use case at pagtatakda ng mga limitasyon. May opsyon ang mga customer na itakda at baguhin ang bawat transaksyon at mga limitasyon sa pang-araw-araw na transaksyon para sa mga tokenized na transaksyon sa card.
Ano ang mangyayari pagkatapos ng tokenization?
Ayon sa RBI, para sa pagsubaybay sa transaksyon at pagkakasundo, maaaring mag-imbak ang mga entity ng limitadong data — huling apat na digit ng aktwal na numero ng card at pangalan ng nagbigay ng card — alinsunod sa mga naaangkop na pamantayan. Ang aktwal na data ng card, token at iba pang nauugnay na mga detalye ay iniimbak sa isang secure na mode ng mga awtorisadong network ng card. Hindi maiimbak ng humihiling ng token ang numero ng card, o anumang iba pang detalye ng card. Ang mga network ng card ay inaatasan din na makuha ang humihiling ng token na sertipikado para sa seguridad na umaayon sa mga internasyonal na pinakamahusay na kagawian / mga pamantayang tinatanggap sa buong mundo.
Maaaring piliin ng isang customer kung hahayaan o hindi na ma-tokenize ang kanyang card. Bukod pa rito, dapat ding bigyan ng tagabigay ng card ang cardholder ng pasilidad upang tingnan ang listahan ng mga merchant kung kanino siya nag-opt para sa mga transaksyon ng CoF, at alisin ang pagkakarehistro ng anumang naturang token.
Bakit pupunta ang RBI para sa tokenization?
Sa pagbanggit ng kaginhawahan at kaginhawahan para sa mga user habang nagsasagawa ng mga transaksyon sa card online, maraming entity na kasangkot sa mga transaksyon sa card ang nag-iimbak ng mga aktwal na detalye ng card, na CoF. Sa katunayan, pinipilit ng ilang merchant ang kanilang mga customer na mag-imbak ng mga detalye ng card. Ang pagkakaroon ng mga naturang detalye na may malaking bilang ng mga mangangalakal ay lubos na nagpapataas ng panganib ng data ng card na manakaw, sinabi ng RBI.
Sa kamakailang nakaraan, may mga insidente kung saan ang data ng card na nakaimbak ng ilang mga merchant ay nakompromiso o na-leak. Ang anumang pagtagas ng data ng CoF ay maaaring magkaroon ng malubhang epekto dahil maraming hurisdiksyon ang hindi nangangailangan ng AFA para sa mga transaksyon sa card. Ang data ng ninakaw na card ay maaari ding gamitin upang gumawa ng mga pandaraya sa loob ng India sa pamamagitan ng mga diskarte sa social engineering, sinabi ng RBI.
Newsletter| Mag-click upang makuha ang pinakamahusay na mga tagapagpaliwanag ng araw sa iyong inbox
Ibahagi Sa Iyong Mga Kaibigan:
